物流信息系统的安全管理

摘要：在信息系统的开发过程中，企业需投入大量的人力与资金，系统的各种软硬件是企业的重要资产。在信息系统的运行过程中会产生和积累大量的信息，这些信息是企业的重要资源，它们几乎反映了企业所有方面的过去、现在与未来。系统软硬件的损坏或信息的泄露会给企业带来不可估量的经济损失，甚至危及企业的生存与发展。因此信息系统的安全与保密是一项必不可少的极其重要的信息系统管理工作。

关键字：信息；安全；计算机；网络

The Safety Management of Logistics Information System Yang Kun (Xin'an Vocational and Technical College Ulanhot in Inner Mongolia 137400) Abstract: Enterprises have to put a great deal of human and financial resources into the developing the information system, So the softwares and hardwares in the system are the key assets for the enterprises. While running, the system will bring and accumulate a large amount of information. The information is the key resource for the enterprises, because they almost reflect every aspect in the past, the present and the future of the enterprise. The damage or let-out of the softwares and hardwares will make an inestimable loss, or even endanger the enterprise. Therefore the safety and secrecy of the information system play an crucial part in the management of information system. Key words: information;safety;computer;network 1信息系统所面临的威胁与攻击

随着信息技术的飞速发展，信息系统的应用越来越广。在Internet日益普及的今天，信息系统的安全性也越来越成为信息系统管理的重要课题。一方面是因为社会对信息系统的依赖性越来越大，信息系统在社会各个领域中的作用日益突出；另一方面也由于数据本身的易消失性、数据的物理特性和信息系统自身的弱点被暴露得越来越多。认真研究信息系统的安全问题，研究和建立信息系统的安全策略，广泛使用信息系统安全技术是信息系统管理人员的重要任务。信息系统是一个开放的系统，可以根据用户的需要在任何时间和任何地点向用户提供信息服务。用户可以共享信息系统的信息资源。信息系统的开放性和数据资源的共享性使其面临多种威胁与攻击。信息系统攻击的类型有：

1.1对信息系统硬件的攻击

主要表现在对计算机的硬件系统、计算机的设备、信息网络的线路等的攻击。

1.2对信息(数据)的攻击

主要表现在信息泄露和信息破坏上。信息泄露是指偶然地或故意地截取目标信息系统的信息。信息破坏是指由于偶然事故或人为破坏而使信息系统中的信息被修改、删除、添加、伪造及非法复制。信息破坏将导致信息系统的信息不真实、信息缺乏完整性、信息系统缺乏可用性。

1.3计算机犯罪

计算机犯罪是指针对和利用信息系统，通过非法操作或以其他手段进行破坏、窃取，危害国家、社会和他人利益的不法行为。

1.4计算机病毒

计算机病毒是通过运行来干扰或破坏信息系统正常工作的一段程序。

2信息系统安全的定义

2.1安全问题的提出

由于管理信息系统是以计算机和数据通信网络为基础的应用管理系统，因此它是一个开放式、全球式、共享式的互联网络系统，如果不采取安全保密措施，那么与网络系统相连的任何终端用户都可以进入和访问网络中的资源。尤其黑客，他们利用计算机软件和网络安全方面的缺陷，对管理信息系统实施有意的攻击，而且有些攻击往往是恶意的。

2.2信息系统安全的定义

信息系统安全是指采取技术和非技术手段，通过对信息系统建设中安全设计和运行中的安全管理，使运行在计算机网络中的信息系统有保护，没有危险，即组成信息系统的硬件、软件和数据资源受到妥善的保护，不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源，信息系统能连续正常运行。

3信息系统的安全策略

3.1信息系统安全策略制定的程序和步骤

3.1.1进行安全需求分析

明确安全的要求，分析和研究系统与环境的相关因素，评估信息系统资源，对系统资源划分安全等级，明确安全防范重点等。

3.1.2提出安全防范措施

标识与认证、存取控制、防病毒、多层防御、恢复、备份、防火墙、网关等。

3.1.3选择安全技术

选择最佳的安全技术方案组合和安全技术产品。

3.2安全策略

信息系统采取的安全策略主要包括4个方面：法律保护、行政管理、人员教育和技术措施。

3.2.1法律保护

有关信息系统的法律法规大体上可以分成社会规范和技术规范两类。 社会规范是调整信息活动中人与人之问的行为准则。要结合专门的保护要求定义合法的信息活动，不正当的信息活动要受到民法或刑法的限制或惩处。阻止任何违反保护要求的禁令，明确用户和系统人员应履行的权利和义务，包括保密法、数据保护法、计算机安全法、计算机犯罪法等。

3.2.2行政管理

行政管理是安全管理的一般行政管理，是依据系统的实践活动，为维护系统安全而建立和制定的规章制度和职能机构。

3.2.3人员教育

对系统的工作人员，如终端操作员、系统管理员、系统设计人员等，进行全面的安全、保密教育，进行职业道德和法律教育，因为他们对系统的功能、结构比较熟悉，对系统的威胁很大。对于从事重要信息系统工作的人员，更应重视教育，并挑选素质好、品质可靠的人员担任。

3.2.4技术措施

技术措施是信息系统安全的重要保证。实施安全技术，不仅涉及计算机和设备及其通信和网络等实体，还涉及数据安全、软件安全、网络安全、运行安全和防病毒技术。安全技术措施应贯穿于系统分析、设计、运行和维护及管理的各个阶段。

信息系统的安全保证措施是系统的有机组成部分，应以系统工程的思想、系统分析的方法，对系统安全需求、威胁、风险和代价进行综合分析，从整体上综合最优考虑，采取相应对策。只有这样，才能建立起一个有一定安全保障的计算机系统。

4信息系统安全的设计

4.1信息系统中软件安全的设计

软件是保证信息系统正常运行、促进信息技术普及应用的主要因素和手段。数据是信息系统的中心，数据的安全管理是信息系统安全的核心。信息系统的软件和数据安全问题，成了人们最经常遇到的、同时又是必须加以解决的问题。

4.1.1选择安全可靠的操作系统和数据库管理系统

选择一个安全可靠的操作系统，是软件安全中最基本的要求。因为操作系统是其他软件的运行基础，只有在保证操作系统安全可靠的前提条件下，讨论软件的安全才有意义。大部分的信息系统都运行在某个数据库管理系统之上，安全的数据库管理系统直接制约了信息系统应用程序及数据文件的安全防护能力。为此，在进行数据库管理系统选择时，一定要考虑它自身的安全策略和安全能力。

4.1.2设计、开发安全可靠的应用程序

通过计算机和网络进行的信息犯罪活动，往往是由篡改应用程序人手进行的。由于大多数的应用程序开发人员缺乏必要的安全意识，程序中又没有有力的安全保护措施，从而使犯罪人员可以比较容易得手，轻而易举地改变程序的部分代码，删除、修改及复制某些数据信息，使程序在正确的运行中产生一些错误的结果，从而达到其目的。因此，在设计和开发应用程序时，可以考虑如下一些安全策略和措施：

（1）设立安全保护子程序或存取控制子程序，充分运用操作系统和数据库管理系统提供的安全手段，加强对用户的识别检查及控制用户的存取权限。

（2）不断提高软件产品标准化、工程化、系列化的水平，

使软件产品的开发可测、可控、可管理。对所有的程序都进行安全检查测试，及时发现不安全因素，逐步进行完善。

（3）尽量采用面向对象的开发方法和模块化的思想，将某个功能或某类功能封装起来，使模块之间、子系统之间能较好地实现隔离，避免错误发生后的连锁扩大。

（4）采用成熟的软件安全技术，是从根本上提高系统安全防护能力、抵御外来侵袭的主要途径。软件安全技术包括软件加密技术、软件固化技术、安装高性能的防毒卡和防毒软件等。

软件的安全除了在设计、实现阶段予以考虑外，软件运行中的安全管理也是保障信息系统安全的重要措施之一，比如加强软件的维护、妥善管理软件及正确运行软件等。这里要强调的是必须按照严格的操作规程运行软件，否则，不但可能产生不应有的错误，而且还可能使系统遭到意外的损坏。 ，

4.2信息系统中数据安全的设计

信息系统中数据安全的设计包括数据存取的控制、防止数据信息泄漏、防止计算机病毒感染和破坏、数据备份的方法等几项工作。加密是防止数据信息泄漏，保障数据秘密性、真实性的重要措施，是数据安全保护的有效手段，也是抵抗计算机病毒感染破坏、保护数据库完整性的重要手段。重要的数据文件应当有完整的备份，防止自然灾害或意外事故将数据文件破坏后，使数据不至于完全丢失，并能使系统尽快恢复运行。所有的数据备份都应当进行登记，妥善保管，防止被盗，防止被破坏，防止被误用。重要的数据备份还应当进行定期检查，定期进行复制，保证备份数据的完整性、使用性和时效性。信息安全技术是一门综合的学科，它涉及信息论、计算机科学和密码学等多方面的知识，它研究计算机系统和通信网络内信息的保护方法，以实现系统内信息的安全、保密、真实、完整和可用。

物流信息系统企业按照现代管理的思想、理念，以信息技术为支撑所开发的信息系统。物流信息系统充分利用数据、信息、知识、计算机网络等资源，实施物流业务、控制物流业务、支持物流业务、实现物流信息共享，以提高物流业务的效率，提高决策的科学性，其最终目的是提高企业的核心竞争力。因此信息系统的安全与保密是一项极其重要的信息系统管理工作。

参考文献：

1.李东.管理信息系统的理论与应用[M].北京:北京大学出版社,1998.81-88

2.董丕明.计算机信息管理基础[M].北京:中国铁道出版社，2000.126-132

3.王立坤.物流管理信息系统[M].北京:化学工业出版社，2000.186-189

4.方勇，刘嘉勇.信息系统安全导论[M].北京:电子工业出版社，2003.212-216

5.黄均勇，蒋云.物流信息管理 [M].北京:北京理工大学出版社,2010.240-245

作者简介：杨昆（1971-），男，讲师，研究方向为物流信息技术、电子商务技术等